一、发展起源

背景了解：

1. 容器是内核里的一项技术。最早的容器技术可以追遡到1982年Unix系列操作系统上的chroot工具。
2. 最早的完整容器技术是LXC（LinuX Container）。它是通过一组简易使用工具和模板来实现的一个容器技术方案，虽然简化了容器技术的使用，但比起直接通过内核调用来使用容器技术，也没有那么简单，因为我们需要学习LXC的命令工具，而且LXC的隔离性也没有做的很好。
3. 后来docker出现了。早期是通过对LXC进行二次封装，通过LXC做容器管理引擎，但在后来发现LXC不太好用，于0.9版本开始支持自研发的libcontainer，再到后面开始支持runc等引擎，功能也是越来越强大。
4. 当然，发展到现在，也有其他容器引擎了，比如containerd等等。
   

1.1 传统虚拟化与容器虚拟化

对比图：

• 虚拟化分两类：
  1. 主机级虚拟化：全虚拟化、半虚拟化。
  2. 容器级虚拟化。
• 主机级虚拟化有kvm、exsi等等，是在操作系统上安装软件，再在软件上安装各个虚拟机，以此进行资源隔离。
• 容器级虚拟化docker技术是在操作系统上安装软件，直接启动docker程序，在程序里创建虚拟命名空间，每个命名空间相当于一个虚拟机，进行逻辑上的资源隔离。
• 容器隔离开的资源：
  1. UTS(主机名与域名)
  2. Mount(文件系统挂载树)
  3. IPC
  4. PID进程树
  5. User
  6. Network(tcp/ip协议栈)

1.2 docker底层核心技术

• 从操作系统功能上看，docker底层依赖的核心技术主要包括Linux操作系统的命名空间、控制组、联合文件系统和Linux虚拟网络支持。

1.2.1 命名空间

• 命名空间(Namespaces)是Linux内核针对实现容器虚拟化而引入的一个强大特性。
• 每个容器都可以拥有自己独立的命名空间，运行其中的应用都像是在独立的操作系统中运行一样。
• 命名空间保证了容器间彼此互不影响。

namespaces	系统调用参数	隔离内容	docker支持的内核版本
UTS	CLONE_NEWUTS	主机名和域名	2.6.19
IPC	CLONE_NEWIPC	信号量、消息队列和共享内存	2.6.19
PID	CLONE_NEWPID	进程编号	2.6.24
Network	CLONE_NEWNET	网络设备、网络栈、端口等	2.6.29
Mount	CLONE_NEWNS	挂载点（文件系统）	2.4.19
User	CLONE_NEWUSER	用户和用户组	3.8

1.2.2 控制组

• 控制组(CGroups)是Linux内核的一个特性，用来对共享资源进行隔离、限制、审计等。只有能控制分配到容器的资源，Docker才能避免多个容器同时运行时的系统资源竞争。
• 控制组可以提供对容器的内存、CPU、磁盘IO等资源进行限制。
• 控制组功能：
  1. 资源限制（Resource Limitting）组可以设置为不超过设定的内存限制。比如：内存子系统可以为进行组设定一个内存使用上限，一旦进程组使用的内存达到限额再申请内存，就会发出Out of Memory警告。
  2. 优先级（Prioritization）通过优先级让一些组优先得到更多的CPU等资源。
  3. 资源审计（Accounting）用来统计系统实际上把多少资源用到合适的目的上，可以使用cpuacct子系统记录某个进程组使用的CPU时间。
  4. 隔离（Isolation）为组隔离命名空间，这样一个组不会看到另一个组的进程、网络连接和文件系统。
  5. 控制（Control）挂起、恢复和重启等操作

CGroups能限制的资源	释义
blkio	块设备IO
cpu	CPU
cpuacct	CPU资源使用报告
cpuset	多处理器平台上的CPU集合
devices	设备访问
freezer	挂起或恢复任务
memory	内存用量及报告
perf_event	对cgroup中的任务进行统一性能测试
net_cls	cgroup中的任务创建的数据报文的类别标识符

1.3 docker工作方式

• 为了使容器的使用更加易于管理，docker采取一个用户空间只跑一个业务进程的方式，在一个容器内只运行一个进程。
• 比如我们要在一台主机上安装一个nginx和一个tomcat，那么nginx就运行在nginx的容器中，tomcat运行在tomcat的容器中，二者用容器间的通信逻辑来进行通信。

1.4 docker容器编排

概念：

• docker自身没有编排功能，在docker的基础上能够把应用程序之间的依赖关系、从属关系、隶属关系等等反映在启动、关闭时的次序和管理逻辑中，这种功能被称为容器编排。

常见容器编排工具：

1. machine+swarm(把N个docker主机当一个主机来管理)+compose(单机编排)。
2. mesos(实现统一资源调度和分配)+marathon
3. kubernetes --> k8s

1.5 docker优劣势

1. 删除一个容器不会影响其他容器。
2. 调试不便，占空间(每个容器中都必须自带调试工具，比如ps命令)。
3. 分发容易，真正意义上一次编写到处运行，比java的跨平台更彻底。
4. 部署容易，无论底层系统是什么，只要有docker，直接run就可以了
5. 分层构建，联合挂载
   

注意事项：

1. 在容器中有数据称作有状态，没有数据称作无状态。在容器的使用中，我们应以有状态为耻，以无状态为荣。数据不应该放在容器中，而应放置于外部存储中，通过挂载到容器中从而进行数据的存储。

1.6 docker架构组成

• docker有两个版本，商业版docker-ee和社区版docker-ce。
• 安装了docker服务端的叫做docker服务器，安装docker客户端的叫做client，一般情况下都是安装在一台服务器上。
• 客户端使用docker命令时，会把指令发送给服务端的守护进程，有它去拉取远程仓库中的镜像并创建启动容器。
• 镜像是静态的，容器是动态的，容器存在生命周期的概念，镜像与容器的关系类似于程序与进程的关系。镜像类似于文件系统中的程序文件，而容器则类似于将一个程序运行起来的状态，也即进程。

二、yum安装docker

• 清华大学开源网站。

1.下载安装源。

//修改成国内清华地址，不然拉取默认的官网速度很慢。
wget -O /etc/yum.repos.d/docker-ce.repo https://mirrors.tuna.tsinghua.edu.cn/docker-ce/linux/centos/docker-ce.repo --no-check-certificate
sed -i 's@https://download.docker.com@https://mirrors.tuna.tsinghua.edu.cn/docker-ce@g' /etc/yum.repos.d/docker-ce.repo    
sed -i 's@$releasever@7@g' /etc/yum.repos.d/docker-ce.repo

2.安装。

yum -y install docker-ce

3.安装Docker后，在/sys/fs/cgroup/memory/目录下看到对Docker组应用的各种限制项。

三、配置docker加速器

• docker-ce的配置文件是/etc/docker/daemon.json，此文件默认不存在，需要我们手动创建并进行配置，而docker加速器就是通过配置此文件来实现的。
• 配置加速器是为了提高干活效率，不然默认使用的是国外官网的很慢。

docker加速方式：

1. docker cn
2. 中国科技大学加速器
3. 阿里云加速器（需要通过阿里云开发者平台注册帐号，免费使用个人私有的加速器）

1.启动docker。

systemctl enable --now docker

2.配置加速器。

cat > /etc/docker/daemon.json <<EOF
{
     "registry-mirrors": ["https://registry.docker-cn.com"]
}
EOF

3.重启服务，查看加速器。

systemctl restart docker
docker info

4.也可以配置多个加速器。这里添加一个阿里云加速器，中间用逗号隔开。

cat /etc/docker/daemon.json 
{
     "registry-mirrors": ["https://registry.docker-cn.com","https://11vuihex.mirror.aliyuncs.com"]
}

//重启服务。
systemctl  restart docker
//查看详细信息。
docker info